'Cybersecurity is een taak van de top'

29-11-2012

Hoge bezoekersaantallen zijn geweldig, maar wat als criminelen proberen door een toevloed van ‘bezoeken’ toegang tot je website te blokkeren? Goede beveiliging kost geld en de verantwoordelijkheid moet daarom op het hoogste niveau liggen, vindt Piet van Schijndel, bestuurslid van de Rabobank Groep.

Alle bedrijven zijn veilig, daar hoeft geen twijfel over te bestaan. Vraag het na aan iedere topman of -vrouw. Garanties geven ze niet, maar ze zijn er gerust op. De afdeling ict heeft altijd alles onder controle. Af en toen maken medewerkers fouten. Ze laten usb-sticks slingeren of zo. En daarbij, echt alle risico’s uitbannen kan toch niet. Waar gehackt wordt vallen spaanders. En zo komt het dat elke maand wel een bedrijf onder vuur komt te liggen omdat kwaadwillenden een gaatje hebben gevonden in de beveiliging die zo goed op peil was.

‘De eindverantwoordelijkheid voor internetveiligheid hoort niet thuis bij de afdeling ict', stelt Piet van Schijndel, lid van de raad van bestuur van de Rabobank Groep en verantwoordelijk voor digitale veiligheid. Het klinkt als wantrouwen, maar zo is het niet bedoeld. Het onderwerp is gewoon te belangrijk. ‘Je kunt inmiddels wel stellen dat internetveiligheid van levensbelang is geworden. Ik vergelijk het met de luchtvaart. Alles is er daar op gericht om vliegtuigen veilig in de lucht te houden. Dan kunnen je kaartjes en de vliegtuigen er nog zo mooi uitzien, het hoeft maar één keer mis te gaan door nalatigheid en het is funest voor het bedrijf. Internet is net zo belangrijk geworden. De verantwoordelijkheid daarvoor moet je op topniveau borgen.’

Op het hoogste niveau
Digitale spionage en digitale criminaliteit blijven de grootste digitale dreigingen waar Nederland mee wordt geconfronteerd. Zowel overheid als bedrijfsleven en burgers blijven daarbij kwetsbaar als doelwit. Dat blijkt uit het tweede Cybersecuritybeeld Nederland dat minister Opstelten van Veiligheid en Justitie op 6 juli naar de Tweede Kamer stuurde.
En het bedrijfsleven loopt minder warm voor cyberveiligheidsbeleid dan overheden en particulieren. Dat bleek in november uit onderzoek van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). Die liet Motivaction onderzoek doen bij vitale sectoren, rijksoverheid, bedrijfsleven, gemeenten en consumenten.

De NCTV vindt dat meer bedrijven beleid en protocollen moeten maken om minder afhankelijk te worden van de inschattingen van medewerkers. Het cybersecuritybewustzijn van medewerkers in het bedrijfsleven is namelijk vrij laag, blijkt uit het Motivaction-onderzoek. ‘Het cybersecuritygedrag is niet zeer consistent’, schrijft Motivaction. ‘De ene keer tonen medewerkers zich verstandig, de andere keer onverstandig.’ Een aanbeveling van de onderzoekers is dan ook om het bewustzijn van medewerkers te vergroten door te informeren welk gedrag veilig en welk gedrag onveilig is en hoe iemand mogelijk onbedoeld een gevaar kan vormen voor de organisatie.

Dus het ligt aan de werknemers? Als bestuurder moet je werknemers opvoeden? Misschien ook wel, maar dat is niet wat Rabo-bestuurder Van Schijndel als zijn primaire taak ziet. ‘Mijn taak is dat ik tegen mijn mensen zeg: 'Zorg er voor dat je er alles aan doet om dit bedrijf veilig te houden. Kom straks niet naar mij toe met het verhaal dat je een aanval wel tegen had kunnen houden, maar er was geen budget voor.' Als het veiligheid betreft, is er altijd budget. Zo’n insteek kun je alleen garanderen als de verantwoordelijkheid op het hoogste niveau ligt.’

En het gaat om aansturing. Woorden én daden. Van Schijndel: ‘Ik word meteen verwittigd als er iets mis gaat. Al is het een storing bij KPN, waar wij niets aan kunnen doen. Daar zijn procedures voor vastgelegd. Ik ben verplicht om alle telefoonnummers bij me te hebben van verantwoordelijke mensen in de organisatie waarmee we een crisisteam vormen als er een veiligheidskwestie is. Het ligt dan aan de techneuten om in te schatten wanneer dat moment is.’

Niet achterover leunen
En vooral niet achterover leunen, zegt Van Schijndel. ‘Het is een voortdurende ratrace tegen de criminelen. Het is ook mijn taak om te bewaken dat we bij blijven met onze kennis. Je bent nooit zeker. De laatste zware aanval waarbij we een sessie van ons crisisteam hadden was in mei, maar het kan vandaag zo weer raak zijn. Je moet altijd voorbereid zijn.’

Natuurlijk werkt Van Schijndel in een bedrijf dat bij uitstek beveiligd moet zijn. ‘Wij hebben ervaring met overvallen. Vroeger kwamen ze aan het loket, nu via internet.’ Maar daardoor moeten andere sectoren zich niet in slaap laten sussen. Het afpersen van computergebruikers met ransomware is bijvoorbeeld de snelst groeiende vorm van cybercriminaliteit. Uit rapporten van beveiligingsbedrijven Symantec en McAfee blijkt dat deze groei is ontstaan doordat online afpersen goed wordt beloond. Ransomware zorgt ervoor dat bepaalde programma's niet gebruikt kunnen worden totdat tegen betaling een code wordt ingevoerd. Volgens Symantec en McAfee betaalt minstens 29 procent van de slachtoffers.

De belangrijkste vraag is altijd of een bedrijf kosten en opbrengsten van veiligheidsmaatregelen net zo ziet als de maatschappij, concludeert Michel van Eeten, onderzoeker aan de TU Delft en lid van de Cyber Security Raad in Nederland. Hij sprak op 16 oktober bij The Grand Conference, een Europees-Amerikaans congres over digitale veiligheid. De neiging is om dure oplossingen links te laten liggen omdat ze niet te verkopen zijn, ziet hij. ‘Veiligheidsproblemen zijn doorgaans eerder het gevolg van verschil in inzichten over de uitgangspunten van de beveiliging dan van slecht ontwerp’, meent Van Eeten. Een variant op: Wie betaalt, bepaalt. ‘Bij beslissingen over veiligheid vindt een uitruil plaats tussen verschillende doelen. Veiligheid kost geld, dus lijkt het logisch een zekere mate van onveiligheid te accepteren.’

Bedrijven reageren vaak te laat op veiligheidsproblemen. Rabobankbestuurder Van Schijndel haalt weer de luchtvaartanalogie van stal: ‘Bij twijfel, wordt niet gevlogen. Zo moet het eigenlijk gaan. Het is nu eenmaal een feit dat een bedrijf – met het oprukken van de techniek – rekening moet houden met andersoortige kosten. Je moet niet veronachtzamen hoeveel last je kunt krijgen als je beveiliging niet op orde is. Dat geldt niet alleen voor banken. Ik ben toezichthouder bij een ziekenhuis. Ik heb nog liever dat de buitenwereld weet hoeveel geld ik op mijn spaarrekening heb, dan dat ze mijn gezondheidsgegevens in bezit krijgen. Alleen als je kunt laten zien dat je er alles aan gedaan hebt om een ramp te voorkomen, houd je de schade beperkt. Dat is geen praatje voor de vaak, het is een dagelijkse strijd die we hier voeren.’


Vier tips voor verbetering van cybersecurity

Michel van Eeten, onderzoeker aan de TU Delft en lid van de Cyber Security Raad in Nederland, adviseert:
  1. Benader digitale veiligheid als een economisch probleem, niet alleen als een technisch of juridisch probleem;
  2. Meer veiligheidsmaatregelen is niet altijd de beste aanpak, zorg ervoor dat de doelen helder zijn;
  3. Probeer onafhankelijke, consistente en begrijpelijke langetermijninformatie te krijgen over de beveiliging van digitale dienstverleners;
  4. Houd er rekening mee dat er (nog) geen betrouwbare standaarden zijn om de beveiliging van digitale diensten te vergelijken.




Alert Online

Van 12 tot 22 november heeft de campagne Alert Online plaatsgevonden om bewust en veilig gebruik van internet en mobiele communicatie over het voetlicht te brengen. De campagne is ontwikkeld door de Nationaal Coördinator Terrorismebestrijding en Veiligheid, een onderdeel van het ministerie van Veiligheid en Justitie, in nauwe samenwerking met onder andere VNO-NCW, de politie en de Cyber Security Raad.

www.alertonline.nl



De grootste gevaren die loeren op het wereldwijde web

Bots en zombies
Bij een distributed denial of service-aanval (DDoS) wordt zoveel verkeer naar een bepaalde website of server geleid dat die onbereikbaar wordt voor de buitenwereld. Aanvallers kunnen ook software plaatsen op computers. Die malware wordt vervolgens – tegen betaling aan een criminele ‘herder’ – aangeroepen door botnets uit de hele wereld, die zo het computersysteem voor hun eigen doel kunnen gebruiken. Een botnet is een collectie aan elkaar gekoppelde computers die software gebruiken die meestal is geïnstalleerd door een computerworm, Trojaans paard of slecht beveiligd achterdeurtje in het computersysteem. De geïnfecteerde computers heten ook wel zombies, het botnet heet ook wel zombienetwerk.

Bekenden
Wilbert de Vries, hoofdredacteur van computerwebsite Tweakers.net: ‘Malware wordt juist verspreid via grote reguliere websites zoals eerder dit jaar Telegraaf.nl. Daarmee bereiken ze in één keer veel mensen. Als je ineens een raar programmaatje moet installeren om een bekende site te kunnen openen, dan moet je dat niet vertrouwen. Je kunt beter één keer te zorgvuldig zijn en iets niet openen, dan één keer te weinig.’

Digitaal slot
Wachtwoorden moeten regelmatig vervangen worden, externe toegang op het servernetwerk door werknemers die thuis werken moet veilig zijn. Het zijn basis veiligheidsinstructies. Maar digitale veiligheid moet ook verankerd zijn als er niets ingetikt hoeft te worden. Een eenvoudige vorm is social engineering. Bijvoorbeeld door de helpdesk van een groot bedrijf te bellen en zich voor te stellen als een werknemer die het wachtwoord voor het bedrijfsnetwerk is vergeten. Cybercriminelen kunnen ook werknemers benaderen, zich voordoen als de technische helpdesk en hen om hun wachtwoord vragen. Dit zijn varianten op de phishing e-mails.
Dit artikel komt uit de print Forum